comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOLUCIONADO] Pentesting a Web -Sqlmap

  • 6 Respuestas
  • 1149 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« en: Junio 18, 2015, 01:18:46 pm »
Hola,
Debido a lo que he sacado de la página web que estaba auditando, le he encontrado un SQLi a uno de sus dominios, pero método POST.
hasta allí todo bien, a la hora te explotarla, Sqlmap se tarda horas y horas y no creo que debe tardar tanto...
¿Alguna idea? ¿Un parámetro o algo en especial?.
Lo estoy colocando de la siguiente forma:

sqlmap.py -u You are not allowed to view links. Register or Login --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

¿Me falta algo en especial o algo así?, ¿alguien que me pueda colaborar por MP para ayudarme a explotarla o algo así?

Gracias  :)
« Última modificación: Junio 20, 2015, 08:18:26 am por blackdrake »

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 365
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #1 en: Junio 18, 2015, 01:31:26 pm »
@You are not allowed to view links. Register or Login , no acostumbro a usar herramientas para testear webs, te recomiendo que lo hagas a "mano", y por lo general SQLMap no demora tanto en inyectar.

Saludos!

Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #2 en: Junio 18, 2015, 01:37:29 pm »
You are not allowed to view links. Register or Login
@You are not allowed to view links. Register or Login , no acostumbro a usar herramientas para testear webs, te recomiendo que lo hagas a "mano", y por lo general SQLMap no demora tanto en inyectar.

Saludos!
Si, pero creo a mano inyectar  por método POST es mucho más complicado D:, pero Sqlmap debería hacerlo bien :/ , no sé, ¿No habrá otra solución?-
 :(

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 365
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #3 en: Junio 18, 2015, 01:55:33 pm »
Para nada, es lo mismo que por GET , es mas hace poco realice un wargame con un reto así , cualquier cosa me mandas MP.

Saludos!

Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #4 en: Junio 18, 2015, 01:59:18 pm »
You are not allowed to view links. Register or Login
Para nada, es lo mismo que por GET , es mas hace poco realice un wargame con un reto así , cualquier cosa me mandas MP.

Saludos!
Dale, a ver, voy a intentarla manualmente, haber que, adivinar tablas es lo jarto.
te mando mensaje privado si no me sale, para que me ayudes  ;D
gracias bro, en serio :)

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1904
  • Actividad:
    18.33%
  • Reputación 15
    • Ver Perfil
« Respuesta #5 en: Junio 18, 2015, 05:15:02 pm »
You are not allowed to view links. Register or Login
sqlmap.py -u You are not allowed to view links. Register or Login --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

@You are not allowed to view links. Register or Login

Revisa el parámetro --data y elimina los parámetros que no sean necesarios para tu inyección, luego revisa si inyecta.

Para el parámetro --data recuerda que se saca así: You are not allowed to view links. Register or Login

Saludos.



Desconectado D00mR3D

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #6 en: Junio 18, 2015, 08:52:44 pm »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
sqlmap.py -u You are not allowed to view links. Register or Login --dbms=MYSQL --level=5 --risk=3 --data="MÉTODO_POST" --dbs --random-agent --tamper=space2comment.py --user-agent=sqlmap

@You are not allowed to view links. Register or Login

Revisa el parámetro --data y elimina los parámetros que no sean necesarios para tu inyección, luego revisa si inyecta.

Para el parámetro --data recuerda que se saca así: You are not allowed to view links. Register or Login

Saludos.

Te envíe Mensaje Privado, leélo por favor.

 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 5289
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 2015
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 1454
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 2476
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 3261
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon